Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Gestión de suscriptores en Security Lake
<a name="subscriber-management"></a>

Un suscriptor de Amazon Security Lake consume registros y eventos de Security Lake. Para controlar los costos y cumplir con las mejores prácticas de acceso con privilegios mínimos, usted proporciona a los suscriptores acceso a los datos por fuente. Para obtener más información sobre orígenes, consulte [Administración de fuentes en Security Lake](source-management.md).

Security Lake admite dos tipos de acceso de suscriptores:
+ **Acceso a los** datos Los suscriptores con acceso a datos de origen en Amazon Security Lake reciben notificaciones de nuevos objetos para la fuente a medida que los datos se escriben en el bucket de S3. De forma predeterminada, los suscriptores reciben notificaciones sobre nuevos objetos a través de un punto de enlace HTTPS que ellos proporcionan. Como alternativa, los suscriptores pueden recibir notificaciones sobre nuevos objetos sondeando una cola del Amazon Simple Queue Service (Amazon SQS).
+ **Acceso a consultas**: los suscriptores con acceso a consultas pueden consultar los datos que recopila Security Lake. Estos suscriptores consultan directamente las tablas de AWS Lake Formation de su bucket de S3 con servicios como Amazon Athena.

Los suscriptores solo tienen acceso a los datos de origen Región de AWS que haya seleccionado al crear el suscriptor. Para permitir que un suscriptor acceda a los datos de varias regiones, puede especificar la región en la que creó el suscriptor como región acumulativa y hacer que otras regiones le aporten datos. Para obtener más información sobre las regiones acumulables y las regiones contribuyentes, consulte. [Gestión de regiones en Security Lake](manage-regions.md)

**importante**  
El número máximo de fuentes que Security Lake permite añadir por suscriptor es de 10. Podría ser una combinación de AWS fuentes y fuentes personalizadas. 

**Topics**
+ [Administrar el acceso a los datos para los suscriptores de Security Lake](subscriber-data-access.md)
+ [Administrar el acceso a las consultas para los suscriptores de Security Lake](subscriber-query-access.md)

# Administrar el acceso a los datos para los suscriptores de Security Lake
<a name="subscriber-data-access"></a>

Los suscriptores con acceso a los datos de origen en Amazon Security Lake reciben notificaciones de nuevos objetos para la fuente a medida que los datos se escriben en el bucket de S3. De forma predeterminada, los suscriptores reciben notificaciones sobre nuevos objetos a través de un punto de enlace HTTPS que ellos proporcionan. Como alternativa, los suscriptores pueden recibir notificaciones sobre nuevos objetos sondeando una cola del Amazon Simple Queue Service (Amazon SQS).

Los suscriptores reciben una notificación de los nuevos objetos de Amazon S3 para una fuente a medida que los objetos se escriben en el lago de datos de Security Lake. Los suscriptores pueden acceder directamente a los objetos de S3 y recibir notificaciones de nuevos objetos a través de un punto de conexión de suscripción o sondeando una cola de Amazon Simple Queue Service (Amazon SQS). Este tipo de suscripción se identifica `S3` en el `accessTypes` parámetro de la API. [CreateSubscriber](https://docs.aws.amazon.com/security-lake/latest/APIReference/API_CreateSubscriber.html)

**Topics**
+ [Requisitos previos](prereqs-creating-subscriber.md)
+ [Crear un suscriptor con acceso a los datos](create-subscriber-data-access.md)
+ [Actualización de un suscriptor de datos](subscriber-update.md)
+ [Eliminar un suscriptor de datos](remove-data-access-subscriber.md)

# Requisitos previos para crear un suscriptor con acceso a los datos en Security Lake
<a name="prereqs-creating-subscriber"></a>

Debe cumplir los siguientes requisitos previos antes de poder crear un suscriptor con acceso a los datos en Security Lake.

## Verificar permisos
<a name="create-data-access-subscriber-permissions"></a>

Para verificar sus permisos, utilice IAM para revisar las políticas de IAM asociadas a su identidad de IAM. A continuación, compare la información de esas políticas con la siguiente lista de acciones (permisos) que debe realizar para notificar a los suscriptores cuando se escriban nuevos datos en el lago de datos.

Necesitará permiso para realizar las siguientes acciones:
+ `iam:CreateRole`
+ `iam:DeleteRolePolicy`
+ `iam:GetRole`
+ `iam:PutRolePolicy`
+ `lakeformation:GrantPermissions`
+ `lakeformation:ListPermissions`
+ `lakeformation:RegisterResource`
+ `lakeformation:RevokePermissions`
+ `ram:GetResourceShareAssociations`
+ `ram:GetResourceShares`
+ `ram:UpdateResourceShare`

Además de la lista anterior, también necesita permiso para realizar las siguientes acciones:
+ `events:CreateApiDestination`
+ `events:CreateConnection`
+ `events:DescribeRule`
+ `events:ListApiDestinations`
+ `events:ListConnections`
+ `events:PutRule`
+ `events:PutTargets`
+ `s3:GetBucketNotification`
+ `s3:PutBucketNotification`
+ `sqs:CreateQueue`
+ `sqs:DeleteQueue`
+ `sqs:GetQueueAttributes`
+ `sqs:GetQueueUrl`
+ `sqs:SetQueueAttributes`

## Obtenga el ID externo del suscriptor
<a name="subscriber-external-id"></a>

Para crear un suscriptor, además del Cuenta de AWS ID del suscriptor, también necesitarás su *ID externa*. El ID externo es un identificador único que te proporciona el suscriptor. Security Lake agrega el ID externo a la función de IAM del suscriptor que crea. El ID externo se utiliza cuando se crea un suscriptor en la consola de Security Lake, a través de la API o AWS CLI.

Para obtener más información sobre el externo IDs, consulte [Cómo usar un ID externo al conceder acceso a sus AWS recursos a un tercero](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user_externalid.html) en la *Guía del usuario de IAM*.



**importante**  
Si planea usar la consola de Security Lake para agregar un suscriptor, puede omitir el siguiente paso y continuar a [Crear un suscriptor con acceso a los datos en Security Lake](create-subscriber-data-access.md). La consola de Security Lake ofrece un proceso simplificado para empezar y crea todas los roles de IAM necesarios o utiliza las funciones existentes en su nombre.  
Si piensa utilizar la API de Security Lake o AWS CLI añadir un suscriptor, continúe con el siguiente paso: crear un rol de IAM para EventBridge invocar los destinos de la API.

## Cree una función de IAM para invocar los destinos de la EventBridge API (paso único y de API) AWS CLI
<a name="iam-role-subscriber"></a>

Si utilizas Security Lake a través de la API o AWS CLI, crea un rol en AWS Identity and Access Management (IAM) que conceda EventBridge permisos a Amazon para invocar los destinos de la API y enviar notificaciones de objetos a los puntos de enlace HTTPS correctos.

Tras crear este rol de IAM, necesitarás el nombre de recurso de Amazon (ARN) del rol para crear el suscriptor. Esta función de IAM no es necesaria si el suscriptor sondea datos de una cola de Amazon Simple Queue Service (Amazon SQS) o consulta datos directamente desde ella. AWS Lake Formation Para obtener más información sobre este tipo de método de acceso a los datos (tipo de acceso), consulte. [Administrar el acceso a las consultas para los suscriptores de Security Lake](subscriber-query-access.md)

Adjunte la siguiente política a su función de IAM:

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowInvokeApiDestination",
            "Effect": "Allow",
            "Action": [
                "events:InvokeApiDestination"
            ],
            "Resource": [
            "arn:aws:events:us-east-1:123456789012:api-destination/AmazonSecurityLake*/*"
            ]
        }
    ]
}
```

------

Adjunta la siguiente política de confianza a tu función de IAM EventBridge para poder asumirla:

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowEventBridgeToAssume",
            "Effect": "Allow",
            "Principal": {
                "Service": "events.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}
```

------

Security Lake crea automáticamente una función de IAM que permite al suscriptor leer los datos del lago de datos (o sondear los eventos de una cola de Amazon SQS si ese es el método de notificación preferido). Este rol está protegido con una política AWS administrada llamada. [`AmazonSecurityLakePermissionsBoundary`](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonSecurityLakePermissionsBoundary)

# Crear un suscriptor con acceso a los datos en Security Lake
<a name="create-subscriber-data-access"></a>

Elija uno de los siguientes métodos de acceso para crear un suscriptor con acceso a los datos actuales Región de AWS.

------
#### [ Console ]

1. Abra la consola de Security Lake en [https://console.aws.amazon.com/securitylake/](https://console.aws.amazon.com/securitylake/).

1. Con el Región de AWS selector situado en la esquina superior derecha de la página, seleccione la región en la que desee crear el suscriptor.

1. En el panel de navegación izquierdo, elija **Suscriptores**.

1. En la página **Suscriptores**, selecciona **Crear** suscriptor.

1. Para ver **los detalles del suscriptor**, introduce el **nombre del suscriptor** y una **descripción** opcional.

   La **región** se rellena automáticamente tal y como la has seleccionado actualmente Región de AWS y no se puede modificar.

1. En el **caso de las fuentes de registro y eventos**, elige qué fuentes está autorizado a consumir el suscriptor.

1. Como **Método de acceso a los datos**, elija **S3** para configurar el acceso a los datos para el suscriptor.

1. Para **las credenciales del suscriptor**, proporcione el Cuenta de AWS ID del suscriptor y el [ID externo](https://docs.aws.amazon.com//security-lake/latest/userguide/prereqs-creating-subscriber.html#subscriber-external-id).

1. **(Opcional) Para ver **los detalles de las notificaciones**, si desea que Security Lake cree una cola de Amazon SQS que el suscriptor pueda sondear en busca de notificaciones de objetos, seleccione la cola de SQS.** **Si desea que Security Lake envíe notificaciones a un punto de conexión HTTPS, EventBridge seleccione el punto de conexión de suscripción.**

   Si selecciona el **punto de conexión de suscripción**, haga también lo siguiente:

   1. Introduzca el **punto de conexión de la suscripción**. Entre los ejemplos de formatos de punto de conexión válidos se incluyen**http://example.com**. Si lo desea, también puede proporcionar un **nombre de clave HTTPS** y un **valor de clave HTTPS**.

   1. Para el **acceso al servicio**, cree una nueva función de IAM o utilice una función de IAM existente que dé EventBridge permiso para invocar los destinos de la API y enviar notificaciones de objetos a los puntos finales correctos.

      Para obtener información sobre la creación de una nueva función de IAM, consulte [Crear una función de IAM para invocar los destinos de la API](https://docs.aws.amazon.com//security-lake/latest/userguide/prereqs-creating-subscriber.html#iam-role-subscriber). EventBridge 

1. (Opcional) En el **caso de las etiquetas**, introduzca hasta 50 etiquetas para asignarlas al suscriptor.

   Una *etiqueta* es una etiqueta que se puede definir y asignar a determinados tipos de AWS recursos. Cada etiqueta consta de una clave de etiqueta necesaria y un valor de etiqueta opcional. Las etiquetas pueden ayudarle a identificar, clasificar y administrar los recursos de diferentes maneras. Para obtener más información, consulte [Etiquetado de los recursos de Security Lake](tagging-resources.md).

1. Seleccione **Crear**.

------
#### [ API ]

Para crear un suscriptor con acceso a los datos mediante programación, utilice el [CreateSubscriber](https://docs.aws.amazon.com/security-lake/latest/APIReference/API_CreateSubscriber.html)funcionamiento de la API de Security Lake. Si usa AWS Command Line Interface (AWS CLI), ejecute el comando [create-subscriber](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/securitylake/create-subscriber.html). 

En tu solicitud, usa estos parámetros para especificar los siguientes ajustes para el suscriptor:
+ Para `sources` ello, especifique cada fuente a la que desee que acceda el suscriptor.
+ Para`subscriberIdentity`, especifique el identificador de AWS cuenta y el identificador externo que utilizará el suscriptor para acceder a los datos de origen.
+ Para`subscriber-name`, especifique el nombre del suscriptor.
+ En `accessTypes`, especifique `S3`.

**Ejemplo 1**

En el siguiente ejemplo, se crea un suscriptor con acceso a los datos de la AWS región actual para la identidad de suscriptor especificada para una AWS fuente.

```
$ aws securitylake create-subscriber \ 
--subscriber-identity {"accountID": 1293456789123,"externalId": 123456789012} \
--sources [{"awsLogSource": {"sourceName": VPC_FLOW, "sourceVersion": 2.0}}] \
--subscriber-name subscriber name \
--access-types S3
```

**Ejemplo 2**

En el siguiente ejemplo, se crea un suscriptor con acceso a los datos de la AWS región actual para la identidad de suscriptor especificada para una fuente personalizada.

```
$ aws securitylake create-subscriber \ 
--subscriber-identity {"accountID": 1293456789123,"externalId": 123456789012} \
--sources [{"customLogSource": {"sourceName": custom-source-name, "sourceVersion": 2.0}}] \
--subscriber-name subscriber name
--access-types S3
```

Los ejemplos anteriores están formateados para Linux, macOS o Unix y utilizan el carácter de continuación de línea con barra invertida (\$1) para mejorar la legibilidad.

(Opcional) Tras crear un suscriptor, utilice la [CreateSubscriberNotification](https://docs.aws.amazon.com/security-lake/latest/APIReference/API_CreateSubscriberNotification.html)operación para especificar cómo se notificará al suscriptor cuando se escriban nuevos datos en el lago de datos de las fuentes a las que desee que acceda el suscriptor. Si usa AWS Command Line Interface (AWS CLI), ejecute el [create-subscriber-notification](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/securitylake/create-subscriber-notification.html)comando. 
+ Para anular el método de notificación predeterminado (punto de enlace HTTPS) y crear una cola de Amazon SQS, especifique los valores de los parámetros. `sqsNotificationConfiguration` 
+ Si prefiere la notificación con un punto de enlace HTTPS, especifique los valores de los parámetros. `httpsNotificationConfiguration`
+ Para el `targetRoleArn` campo, especifique el ARN del rol de IAM que creó para EventBridge invocar los destinos de la API.

```
$ aws securitylake create-subscriber-notification \
--subscriber-id "12345ab8-1a34-1c34-1bd4-12345ab9012" \
--configuration httpsNotificationConfiguration={"targetRoleArn"="arn:aws:iam::XXX:role/service-role/RoleName", "endpoint"="https://account-management.$3.$2.securitylake.aws.dev/v1/datalake"}
```

Para obtenerlos`subscriberID`, utilice la [ListSubscribers](https://docs.aws.amazon.com//security-lake/latest/APIReference/API_ListSubscribers.html)operación de la API de Security Lake. Si está utilizando AWS Command Line Interface (AWS CLI), ejecute el comando [list-subscriber](https://docs.aws.amazon.com/cli/latest/reference/securitylake/list-subscribers.html). 

```
$ aws securitylake list-subscribers
```

------

Para cambiar posteriormente el método de notificación (cola Amazon SQS o punto de enlace HTTPS) para el suscriptor, utilice la [UpdateSubscriberNotification](https://docs.aws.amazon.com/security-lake/latest/APIReference/API_UpdateSubscriberNotification.html)operación o, si está utilizando la AWS CLI, ejecute el comando. [update-subscriber-notification](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/securitylake/update-subscriber-notification.html) **También puede cambiar el método de notificación mediante la consola de Security Lake: seleccione el suscriptor en la página de **suscriptores** y, a continuación, elija Editar.**

## Ejemplo de mensaje de notificación de objetos
<a name="sample-notification"></a>

En el siguiente ejemplo, se muestra la notificación del evento en formato de estructura JSON para la `CreateSubscriberNotification` operación. 

```
{
  "source": "aws.s3",
  "time": "2021-11-12T00:00:00Z",
  "account": "123456789012",
  "region": "ca-central-1",
  "resources": [
    "arn:aws:s3:::amzn-s3-demo-bucket"
  ],
  "detail": {
    "bucket": {
      "name": "amzn-s3-demo-bucket"
    },
    "object": {
      "key": "example-key",
      "size": 5,
      "etag": "b57f9512698f4b09e608f4f2a65852e5"
    },
    "request-id": "N4N7GDK58NMKJ12R",
    "requester": "securitylake.amazonaws.com"
  }
}
```

# Actualización de un suscriptor de datos en Security Lake
<a name="subscriber-update"></a>

Puede actualizar un suscriptor cambiando las fuentes de las que consume el suscriptor. También puedes asignar o editar las etiquetas de un suscriptor. Una *etiqueta* es una etiqueta que se puede definir y asignar a determinados tipos de AWS recursos, incluidos los suscriptores. Para obtener más información, consulte [Etiquetado de los recursos de Security Lake](tagging-resources.md).

Elija uno de los métodos de acceso y siga estos pasos para definir nuevas fuentes para una suscripción existente.

------
#### [ Console ]

1. Abra la consola de Security Lake en [https://console.aws.amazon.com/securitylake/](https://console.aws.amazon.com/securitylake/).

1. En el panel de navegación izquierdo, elija **Suscriptores**.

1. Seleccione el suscriptor.

1. Seleccione **Editar** y, a continuación, realice una de las siguientes acciones:
   + Para actualizar las fuentes del suscriptor, introduzca la nueva configuración en la sección **Fuentes de registros y eventos**.
   + Para asignar o editar etiquetas para el suscriptor, cámbielas según sea necesario en la sección **Etiquetas**.

1. Cuando termine, elija **Guardar**.

------
#### [ API ]

Para actualizar las fuentes de acceso a los datos de un suscriptor mediante programación, utilice el [UpdateSubscriber](https://docs.aws.amazon.com/security-lake/latest/APIReference/API_UpdateSubscriber.html)funcionamiento de la API de Security Lake. Si utilizas AWS Command Line Interface (AWS CLI), ejecuta el comando [update-subscriber](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/securitylake/update-subscriber.html). En tu solicitud, usa los `sources` parámetros para especificar cada fuente a la que deseas que acceda el suscriptor.

```
$ aws securitylake update-subscriber --subscriber-id subscriber ID
```

Para obtener una lista de suscriptores asociados a una organización Cuenta de AWS o a una determinada organización, utilice la [ListSubscribers](https://docs.aws.amazon.com/security-lake/latest/APIReference/API_ListSubscribers.html)operación. Si estás usando AWS Command Line Interface (AWS CLI), ejecuta el comando [list-subscribers](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/securitylake/list-subscribers.html).

```
$ aws securitylake list-subscribers
```

[Para revisar la configuración actual de un suscriptor en particular, utilice la [GetSubscriber](https://docs.aws.amazon.com/security-lake/latest/APIReference/API_GetSubscriber.html)operación. ejecute el comando get-subscriber.](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/securitylake/get-subscriber.html) A continuación, Security Lake devuelve el nombre y la descripción del suscriptor, el identificador externo y la información adicional. Si usa AWS Command Line Interface (AWS CLI), ejecute el comando [get-subscriber](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/securitylake/get-subscriber.html).

 Para actualizar el método de notificación de un suscriptor, usa la [UpdateSubscriberNotification](https://docs.aws.amazon.com/security-lake/latest/APIReference/API_UpdateSubscriberNotification.html)operación. Si utilizas el AWS Command Line Interface (AWS CLI), ejecuta el [update-subscriber-notification](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/securitylake/update-subscriber-notification.html)comando. Por ejemplo, puede especificar un nuevo punto de enlace HTTPS para el suscriptor o cambiar de un punto de enlace HTTPS a una cola de Amazon SQS.

------

# Eliminar un suscriptor de datos de Security Lake
<a name="remove-data-access-subscriber"></a>

Si ya no desea que un suscriptor consuma datos de Security Lake, puede eliminarlo siguiendo estos pasos.

------
#### [ Console ]

1. Abra la consola de Security Lake en [https://console.aws.amazon.com/securitylake/](https://console.aws.amazon.com/securitylake/).

1. En el panel de navegación izquierdo, elija **Suscriptores**.

1. Seleccione el suscriptor que desee eliminar.

1. Elija **Eliminar** y confirme la acción. Esto eliminará al suscriptor y todos los ajustes de notificación asociados.

------
#### [ API ]

En función de su situación, realice una de las siguientes acciones:
+ Para eliminar el suscriptor y todos los ajustes de notificación asociados, utilice el [DeleteSubscriber](https://docs.aws.amazon.com/security-lake/latest/APIReference/API_DeleteSubscriber.html)funcionamiento de la API de Security Lake. Si usa AWS Command Line Interface (AWS CLI), ejecute el comando [delete-subscriber](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/securitylake/delete-subscriber.html).
+ Para retener al suscriptor pero detener las futuras notificaciones al suscriptor, utilice el [DeleteSubscriberNotification](https://docs.aws.amazon.com/security-lake/latest/APIReference/API_DeleteSubscriberNotification.html)funcionamiento de la API de Security Lake. Si estás usando AWS Command Line Interface (AWS CLI), ejecuta el [delete-subscriber-notification](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/securitylake/delete-subscriber-notification.html)comando run the.

------

# Administrar el acceso a las consultas para los suscriptores de Security Lake
<a name="subscriber-query-access"></a>

Los suscriptores con acceso a consultas pueden consultar los datos que recopila Security Lake. Estos suscriptores consultan directamente AWS Lake Formation las tablas de su bucket de S3 con servicios como Amazon Athena. Aunque el motor de consultas principal de Security Lake es Athena, también puede utilizar otros servicios, como [Amazon Redshift](https://docs.aws.amazon.com/redshift/latest/dg/c-getting-started-using-spectrum.html) Spectrum y Spark SQL, que se integran con. AWS Glue Data Catalog

Los suscriptores consultan los datos de origen de AWS Lake Formation las tablas de su bucket de S3 mediante servicios como Amazon Athena. Este tipo de suscripción se identifica `LAKEFORMATION` en el `accessTypes` parámetro de la [CreateSubscriber](https://docs.aws.amazon.com/security-lake/latest/APIReference/API_CreateSubscriber.html)API.

**nota**  
En esta sección se explica cómo conceder acceso a consultas a un suscriptor externo. Para obtener información sobre cómo ejecutar consultas en su propio lago de datos, consulte[Paso 4: Vea y consulte sus propios datos](get-started-console.md#explore-data-lake).

**Topics**
+ [Requisitos previos](prereqs-query-subscriber.md)
+ [Crear un suscriptor con acceso a consultas](create-query-subscriber-procedures.md)
+ [Edición de un suscriptor con acceso a consultas](editing-query-access-subscriber.md)

# Requisitos previos para crear un suscriptor con acceso a consultas en Security Lake
<a name="prereqs-query-subscriber"></a>

Debe cumplir los siguientes requisitos previos antes de poder crear un suscriptor con acceso a los datos en Security Lake.

## Verificar permisos
<a name="add-query-subscriber-permissions"></a>

Antes de crear un suscriptor con acceso de consulta, compruebe que tiene permiso para realizar la siguiente lista de acciones.

Para verificar sus permisos, utilice IAM para revisar las políticas de IAM asociadas a su identidad de IAM. A continuación, compare la información de esas políticas con la siguiente lista de acciones que debe poder realizar para crear un suscriptor con acceso de consulta. 
+ `glue:PutResourcePolicy`
+ `glue:DeleteResourcePolicy`
+ `iam:CreateRole`
+ `iam:DeleteRolePolicy`
+ `iam:GetRole`
+ `iam:PutRolePolicy`
+ `lakeformation:GrantPermissions`
+ `lakeformation:ListPermissions`
+ `lakeformation:RegisterResource`
+ `lakeformation:RevokePermissions`
+ `ram:GetResourceShareAssociations`
+ `ram:GetResourceShares`
+ `ram:UpdateResourceShare`

**importante**  
Una vez que haya verificado los permisos:  
Si piensa utilizar la consola de Security Lake para añadir un suscriptor con acceso de consulta, puede omitir el siguiente paso y continuar con[Otorgue permisos de administrador de Lake Formation](#permissions-lf-admin). Security Lake crea todas las funciones de IAM necesarias o utiliza las funciones existentes en su nombre.
Si planea usar la API o la CLI de Security Lake para agregar un suscriptor con acceso de consulta, continúe con el siguiente paso para crear un rol de IAM para consultar los datos de Security Lake.

## Cree una función de IAM para consultar los datos de Security Lake (API y solo paso AWS CLI)
<a name="iam-role-query-subscriber"></a>

Cuando utilice la API de Security Lake o AWS CLI conceda acceso a una consulta a un suscriptor, tendrá que crear un rol denominado. `AmazonSecurityLakeMetaStoreManager` Security Lake usa esta función para registrar AWS Glue particiones y actualizar AWS Glue tablas. Es posible que ya haya creado este rol al [crear los roles de IAM necesarios](getting-started.html#prerequisite-iam-roles).

## Otorgue permisos de administrador de Lake Formation
<a name="permissions-lf-admin"></a>

También tendrá que añadir permisos de administrador de Lake Formation a la función de IAM que utilice para acceder a la consola de Security Lake y añadir suscriptores.

Puede conceder permisos de administrador de Lake Formation para su función siguiendo estos pasos:

1. Abra la consola de Lake Formation en [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/).

1. Inicie sesión como usuario administrativo.

1. Si aparece la **ventana de bienvenida a Lake Formation**, elija el usuario de IAM que creó o seleccionó en el Paso 1 y, a continuación, elija Comenzar.

1. Si no aparece la **ventana de bienvenida a Lake Formation**, siga estos pasos para configurar un administrador de Lake Formation.

   1. En el panel de navegación, en **Permisos**, elija **Roles y tareas administrativas**. En la sección **Administradores de lago de datos**, elija **Elegir administradores**.

   1. En el cuadro de diálogo **Administrar administradores de lagos de datos**, para los usuarios y roles de IAM, elija el rol de administrador utilizado al acceder a la consola de Security Lake y, a continuación, elija **Guardar**.

Para obtener más información sobre cómo cambiar los permisos de los administradores de lagos de datos, consulte [Crear un administrador de lagos de datos](https://docs.aws.amazon.com/lake-formation/latest/dg/getting-started-setup.html#create-data-lake-admin) en la *Guía para AWS Lake Formation desarrolladores*.

El rol de IAM debe tener `SELECT` privilegios en la base de datos y las tablas a las que desee conceder acceso a un suscriptor. Para obtener instrucciones sobre cómo hacerlo, consulte [Concesión de permisos para el catálogo de datos mediante el método de recurso indicado](https://docs.aws.amazon.com/lake-formation/latest/dg/granting-cat-perms-named-resource.html) en la *Guía para AWS Lake Formation desarrolladores*.

# Crear un suscriptor con acceso a consultas en Security Lake
<a name="create-query-subscriber-procedures"></a>

Elige el método que prefieras para crear un suscriptor con acceso de consulta en el actual Región de AWS. Un suscriptor solo puede consultar datos desde el Región de AWS lugar en el que se creó. Para crear un suscriptor, necesitarás tener el Cuenta de AWS ID y el ID externo del suscriptor. El ID externo es un identificador único que te proporciona el suscriptor. Para obtener más información sobre el externo IDs, consulte [Cómo utilizar un identificador externo al conceder acceso a sus AWS recursos a un tercero](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user_externalid.html) en la *Guía del usuario de IAM*.

**nota**  
Security Lake no admite la versión 1 del uso compartido de datos entre cuentas de Lake Formation. Debe actualizar a la versión 2 o 3 del uso compartido de datos entre cuentas de Lake Formation. Para conocer los pasos para actualizar la **configuración de la versión multicuenta** a través de la AWS Lake Formation consola o la AWS CLI, consulte [Para habilitar la nueva versión](https://docs.aws.amazon.com/lake-formation/latest/dg/optimize-ram.html#version-update-steps) en la *Guía para AWS Lake Formation desarrolladores*.

------
#### [ Console ]

1. Abra la consola de Security Lake en [https://console.aws.amazon.com/securitylake/](https://console.aws.amazon.com/securitylake/).

   Inicie sesión en la cuenta de administrador delegado.

1. Con el Región de AWS selector situado en la esquina superior derecha de la página, seleccione la región en la que desee crear el suscriptor.

1. En el panel de navegación izquierdo, elija **Suscriptores**.

1. En la página **Suscriptores**, selecciona **Crear** suscriptor.

1. Para ver **los detalles del suscriptor**, introduce un **nombre de suscriptor** y una **descripción** opcional.

   La **región** se rellena automáticamente tal y como la has seleccionado actualmente Región de AWS y no se puede modificar.

1. En el **caso de las fuentes de registros y eventos**, elija las fuentes que desee que Security Lake incluya al devolver los resultados de la consulta.

1. En **Método de acceso a datos**, elija **Lake Formation** para crear un acceso de consulta para el suscriptor.

1. Para **las credenciales del suscriptor**, proporcione el Cuenta de AWS ID del suscriptor y el [ID externo](https://docs.aws.amazon.com//security-lake/latest/userguide/prereqs-creating-subscriber.html#subscriber-external-id).

1. (Opcional) En el caso de las **etiquetas**, introduce hasta 50 etiquetas para asignarlas al suscriptor.

   Una *etiqueta* es una etiqueta que se puede definir y asignar a determinados tipos de AWS recursos. Cada etiqueta consta de una clave de etiqueta necesaria y un valor de etiqueta opcional. Las etiquetas pueden ayudarle a identificar, clasificar y administrar los recursos de diferentes maneras. Para obtener más información, consulte [Etiquetado de los recursos de Security Lake](tagging-resources.md).

1. Seleccione **Crear**.

------
#### [ API ]

Para crear un suscriptor con acceso a consultas mediante programación, utilice el [CreateSubscriber](https://docs.aws.amazon.com/security-lake/latest/APIReference/API_CreateSubscriber.html)funcionamiento de la API de Security Lake. Si utilizas AWS Command Line Interface (AWS CLI), ejecuta el comando [create-subscriber](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/securitylake/create-subscriber.html). 

En tu solicitud, usa estos parámetros para especificar los siguientes ajustes para el suscriptor:
+ En `accessTypes`, especifique `LAKEFORMATION`.
+ Para `sources` ello, especifique cada fuente que desee que Security Lake incluya al devolver los resultados de la consulta.
+ Para`subscriberIdentity`, especifique la AWS identidad y el identificador externo que el suscriptor utiliza para consultar los datos de origen.

En el siguiente ejemplo, se crea un suscriptor con acceso de consulta en la AWS región actual para la identidad del suscriptor especificada. Este ejemplo está formateado para Linux, macOS o Unix y utiliza el carácter de barra invertida (\$1) de continuación de línea para mejorar la legibilidad.

```
$ aws securitylake create-subscriber \ 
--subscriber-identity {"accountID": 129345678912,"externalId": 123456789012} \
--sources [{"awsLogSource": {"sourceName": VPC_FLOW, "sourceVersion": 2.0}}] \
--subscriber-name subscriber name \
--access-types LAKEFORMATION
```

------

## Configurar el uso compartido de tablas entre cuentas (paso de suscriptor)
<a name="grant-query-access-subscriber"></a>

Security Lake utiliza el intercambio de tablas entre cuentas de Lake Formation para facilitar el acceso a las consultas de los suscriptores. Al crear un suscriptor con acceso de consulta en la consola, API o API de Security Lake AWS CLI, Security Lake comparte información sobre las tablas de Lake Formation relevantes con el suscriptor mediante la creación de un [recurso compartido](https://docs.aws.amazon.com/ram/latest/userguide/getting-started-terms-and-concepts.html#term-resource-share) en AWS Resource Access Manager (AWS RAM).

Al realizar determinados tipos de modificaciones en un suscriptor con acceso a consultas, Security Lake crea un nuevo recurso compartido. Para obtener más información, consulte [Edición de un suscriptor con acceso a consultas en Security Lake](editing-query-access-subscriber.md).

El suscriptor debe seguir estos pasos para consumir datos de las tablas de Lake Formation:

1. **Aceptar el recurso compartido**: el suscriptor debe aceptar el recurso compartido que contiene `resourceShareArn` y `resourceShareName` que se genera al crear o editar el suscriptor. Elija uno de los siguientes métodos de acceso:
   + Para la consola y AWS CLI, consulte [Aceptar una invitación para compartir recursos de AWS RAM](https://docs.aws.amazon.com/lake-formation/latest/dg/accepting-ram-invite.html).
   + Para la API, invoque la [GetResourceShareInvitations](https://docs.aws.amazon.com/ram/latest/APIReference/API_GetResourceShareInvitations.html)API. Filtra por `resourceShareArn` y `resourceShareName` para encontrar el recurso compartido correcto. Acepta la invitación con la [AcceptResourceShareInvitation](https://docs.aws.amazon.com/ram/latest/APIReference/API_AcceptResourceShareInvitation.html)API.

   La invitación para compartir recursos caduca en 12 horas, por lo que debes validarla y aceptarla en un plazo de 12 horas. Si la invitación caduca, seguirás viéndola en ese `PENDING` estado, pero al aceptarla no tendrás acceso a los recursos compartidos. Cuando hayan transcurrido más de 12 horas, elimina al suscriptor de Lake Formation y vuelve a crearlo para recibir una nueva invitación para compartir recursos.

1. **Crear un enlace de recursos a la base de datos compartida**: el suscriptor debe crear un enlace de recursos a la base de datos compartida de Lake Formation AWS Lake Formation (si usa la consola) o AWS Glue (si usa API/AWS CLI). Este enlace de recursos dirige la cuenta del suscriptor a la base de datos compartida. Elija uno de los siguientes métodos de acceso:
   + Para la consola y AWS CLI, [consulte Crear un enlace de recurso a una base de datos de catálogo de datos compartida.](https://docs.aws.amazon.com/lake-formation/latest/dg/create-resource-link-database.html) en la *Guía para AWS Lake Formation desarrolladores*.
   + Recomendamos a los suscriptores que también creen una base de datos única con la [CreateDatabase](https://docs.aws.amazon.com/glue/latest/webapi/API_CreateDatabase.html)API para almacenar las tablas de enlaces de recursos.

1. **Consulte las tablas compartidas**: servicios como Amazon Athena pueden hacer referencia a las tablas directamente y los nuevos datos que Security Lake recopila están disponibles automáticamente para consultarlos. Las consultas se ejecutan en el Cuenta de AWS suscriptor y los costos incurridos por las consultas se facturan al suscriptor. Puede controlar el acceso de lectura a los recursos en su propia cuenta de Security Lake.

Para obtener más información sobre la concesión de permisos entre cuentas, consulte [Uso compartido de datos entre cuentas en Lake Formation](https://docs.aws.amazon.com/lake-formation/latest/dg/cross-account-permissions.html) en la Guía para *AWS Lake Formation desarrolladores*.

# Edición de un suscriptor con acceso a consultas en Security Lake
<a name="editing-query-access-subscriber"></a>

Security Lake permite realizar modificaciones en un suscriptor con acceso a consultas. Puede editar el nombre, la descripción, el identificador externo, el director (Cuenta de AWS ID) y las fuentes de registro que el suscriptor puede utilizar. Elija el método que prefiera y siga los pasos para editar un suscriptor con acceso a las consultas en la Región de AWS actual.

**nota**  
Security Lake no admite la versión 1 del uso compartido de datos entre cuentas de Lake Formation. Debe actualizar a la versión 2 o 3 del uso compartido de datos entre cuentas de Lake Formation. Para conocer los pasos para actualizar la **configuración de la versión multicuenta** a través de la AWS Lake Formation consola o la AWS CLI, consulte [Para habilitar la nueva versión](https://docs.aws.amazon.com/lake-formation/latest/dg/optimize-ram.html#version-update-steps) en la *Guía para AWS Lake Formation desarrolladores*.

------
#### [ Console ]

En función de los detalles que desee editar, siga los pasos que se indican únicamente para esa acción.

**Para editar el nombre del suscriptor**  

1. Abra la consola de Security Lake en [https://console.aws.amazon.com/securitylake/](https://console.aws.amazon.com/securitylake/).

   Inicie sesión en la cuenta de administrador delegado.

1. Con el Región de AWS selector situado en la esquina superior derecha de la página, seleccione la región en la que desee editar los detalles del suscriptor.

1. En el panel de navegación izquierdo, elija **Suscriptores**.

1. En la página **Suscriptores**, utilice el botón de opción para seleccionar el suscriptor que desee editar. El **método de acceso a los datos** del suscriptor seleccionado debe ser **LAKEFORMATION**.

1. Elija **Editar**.

1. Introduzca el **nombre del nuevo suscriptor** y seleccione **Guardar**.

**Para editar la descripción del suscriptor**  

1. Abra la consola de Security Lake en. [https://console.aws.amazon.com/securitylake/](https://console.aws.amazon.com/securitylake/)

   Inicie sesión en la cuenta de administrador delegado.

1. Con el Región de AWS selector situado en la esquina superior derecha de la página, seleccione la región en la que desee editar el suscriptor.

1. En el panel de navegación izquierdo, elija **Suscriptores**.

1. En la página **Suscriptores**, utilice el botón de opción para seleccionar el suscriptor que desee editar. El **método de acceso a los datos** del suscriptor seleccionado debe ser **LAKEFORMATION**.

1. Elija **Editar**.

1. Introduzca la nueva descripción del suscriptor y seleccione **Guardar**.

**Para editar el ID externo**  

1. Abra la consola de Security Lake en. [https://console.aws.amazon.com/securitylake/](https://console.aws.amazon.com/securitylake/)

   Inicie sesión en la cuenta de administrador delegado.

1. Con el Región de AWS selector situado en la esquina superior derecha de la página, seleccione la región en la que desee editar los detalles del suscriptor.

1. En el panel de navegación izquierdo, elija **Suscriptores**.

1. En la página **Suscriptores**, utilice el botón de opción para seleccionar el suscriptor que desee editar. El **método de acceso a los datos** del suscriptor seleccionado debe ser **LAKEFORMATION**.

1. Elija **Editar**.

1. Introduzca el nuevo **ID externo** que ha proporcionado el suscriptor y seleccione **Guardar**.

   Al guardar el nuevo ID externo, se elimina automáticamente el AWS RAM recurso compartido anterior y se crea un nuevo recurso compartido para el suscriptor.

1. El suscriptor debe aceptar el nuevo recurso compartido siguiendo el paso 1 en [Configurar el uso compartido de tablas entre cuentas (paso de suscriptor)](create-query-subscriber-procedures.md#grant-query-access-subscriber). Asegúrese de que el nombre de recurso de Amazon (ARN) que aparece en los detalles del suscriptor sea el mismo que el de la consola de Lake Formation. El enlace de recursos a las tablas compartidas no cambia, por lo que el suscriptor no tiene que crear un nuevo enlace de recursos.

**Para editar el principal (Cuenta de AWS ID)**  

1. Abra la consola de Security Lake en [https://console.aws.amazon.com/securitylake/](https://console.aws.amazon.com/securitylake/).

   Inicie sesión en la cuenta de administrador delegado.

1. Con el Región de AWS selector situado en la esquina superior derecha de la página, seleccione la región en la que desee editar los detalles del suscriptor.

1. En el panel de navegación izquierdo, elija **Suscriptores**.

1. En la página **Suscriptores**, utilice el botón de opción para seleccionar el suscriptor que desee editar. El **método de acceso a los datos** del suscriptor seleccionado debe ser **LAKEFORMATION**.

1. Elija **Editar**.

1. Introduzca el **ID del Cuenta de AWS ** del suscriptor y seleccione **Guardar**.

   Al guardar el nuevo ID de cuenta, se elimina automáticamente el AWS RAM recurso compartido anterior para que el principal anterior no pueda consumir las fuentes de registro y eventos. Security Lake crea un nuevo recurso compartido.

1. Con las credenciales de la nueva entidad principal, el suscriptor debe aceptar el nuevo recurso compartido y crear un enlace de recursos a las tablas compartidas. Esto le da a la nueva entidad principal acceso a los recursos compartidos. Para obtener instrucciones, consulte los pasos 1 y 2 en [Configurar el uso compartido de tablas entre cuentas (paso de suscriptor)](create-query-subscriber-procedures.md#grant-query-access-subscriber). Asegúrese de que el ARN que aparece en los detalles del suscriptor sea el mismo que el de la consola de Lake Formation. 

**Para editar los orígenes de registros y eventos**  

1. Abra la consola de Security Lake en [https://console.aws.amazon.com/securitylake/](https://console.aws.amazon.com/securitylake/).

   Inicie sesión en la cuenta de administrador delegado.

1. Con el Región de AWS selector situado en la esquina superior derecha de la página, seleccione la región en la que desee editar los detalles del suscriptor.

1. En el panel de navegación izquierdo, elija **Suscriptores**.

1. En la página **Suscriptores**, utilice el botón de opción para seleccionar el suscriptor que desee editar. El **método de acceso a los datos** del suscriptor seleccionado debe ser **LAKEFORMATION**.

1. Elija **Editar**.

1. Anule la selección de orígenes existentes o elija las que desea agregar. Si anula la selección de un origen, no tiene que realizar ninguna otra acción por su parte. Si opta por añadir un origen, no se creará ninguna nueva invitación para compartir recursos. Sin embargo, Security Lake actualiza las tablas compartidas de Lake Formation en función de los orígenes añadidos. El suscriptor debe crear un enlace de recursos a las tablas compartidas actualizadas para poder consultar los datos de origen. Para obtener instrucciones, consulte el paso 2 en [Configurar el uso compartido de tablas entre cuentas (paso de suscriptor)](create-query-subscriber-procedures.md#grant-query-access-subscriber).

1. Seleccione **Save**.

------
#### [ API ]

Para editar un suscriptor con acceso a consultas mediante programación, utilice el [UpdateSubscriber](https://docs.aws.amazon.com/security-lake/latest/APIReference/API_UpdateSubscriber.html)funcionamiento de la API de Security Lake. Si usa AWS Command Line Interface (AWS CLI), ejecute el comando [update-subscriber](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/securitylake/update-subscriber.html). En su solicitud, utilice los parámetros compatibles para especificar la siguiente configuración para el suscriptor:
+ Para `subscriberName`, especifique el nombre del nuevo suscriptor.
+ Para `subscriberDescription`, especifique la nueva descripción.
+ Para `subscriberIdentity` ello, especifique el (Cuenta de AWS ID) principal y el ID externo que utilizará el suscriptor para consultar los datos de origen. Debe proporcionar la entidad principal y el ID externo. Si desea mantener uno de estos valores sin cambios, transfiera el valor actual.
  + **Actualizar solo el ID externo**: esta acción elimina el recurso compartido de AWS RAM anterior y crea uno nuevo para el suscriptor. El suscriptor debe aceptar el nuevo recurso compartido siguiendo el paso 1 en [Configurar el uso compartido de tablas entre cuentas (paso de suscriptor)](create-query-subscriber-procedures.md#grant-query-access-subscriber). El enlace de recursos a las tablas compartidas no cambia, por lo que el suscriptor no tiene que crear un nuevo enlace de recursos.
  + **Actualizar solo el principal**: esta acción elimina el AWS RAM recurso compartido anterior para que el principal anterior no pueda consumir las fuentes de registro y eventos. Security Lake crea un nuevo recurso compartido. Con las credenciales de la nueva entidad principal, el suscriptor debe aceptar el nuevo recurso compartido y crear un enlace de recursos a las tablas compartidas. Esto le da a la nueva entidad principal acceso a los recursos compartidos. Para obtener instrucciones, consulte los pasos 1 y 2 en [Configurar el uso compartido de tablas entre cuentas (paso de suscriptor)](create-query-subscriber-procedures.md#grant-query-access-subscriber).

  Para actualizar el identificador externo *y* la entidad principal, siga los pasos 1 y 2 en [Configurar el uso compartido de tablas entre cuentas (paso de suscriptor)](create-query-subscriber-procedures.md#grant-query-access-subscriber).
+ Para `sources`, elimine los orígenes existentes o especifique los orígenes que desee añadir. Si elimina un origen, no tiene que realizar ninguna otra acción por su parte. Si añade un origen, no se creará ninguna nueva invitación para compartir recursos. Sin embargo, Security Lake actualiza las tablas compartidas de Lake Formation en función de los orígenes añadidos. El suscriptor debe crear un enlace de recursos a las tablas compartidas actualizadas para poder consultar los datos de origen. Para obtener instrucciones, consulte el paso 2 en [Configurar el uso compartido de tablas entre cuentas (paso de suscriptor)](create-query-subscriber-procedures.md#grant-query-access-subscriber).

------